Вразливість в FaceTime дозволила підслухати співрозмовника до початку дзвінка

Вразливість сервісу Apple аудіо- та відеодзвінків FaceTime дозволяла користувачам активувати дзвінок іншому користувачеві, не чекаючи відповіді від нього. При цьому абонент зміг отримувати аудіо і відео від користувача. Компанія вже визнала наявність проблеми і відключила сервіс групових дзвінків, а також пообіцяла випустити оновлення з усуненням вразливості до кінця тижня.

FaceTime – це сервіс аудіо- та відеодзвінків, розроблений Apple для своїх комп’ютерів і мобільних пристроїв. Початкова версія, представлена в 2010 році, підтримувала лише відеодзвінки, а в 2013 році була представлена функція аудіодзвінків. У 2018 році з  виходом iOS 12 і macOS 10.14 Mojave була представлена групова версія сервісу, що дозволяє спілкуватися одночасно 32 користувачам. Через це компанії довелося серйозно переробити як інтерфейс програми, який динамічно змінюється в залежності від того, хто з користувачів говорить в конкретний момент, так і технічні аспекти взаємодії безлічі користувачів.

В кінці січня користувачі виявили, що функція групових дзвінків була реалізована з помилкою, що дозволяє підслуховувати інших користувачів без їхнього відома. Вразливість виявлялася таким чином. Користувач здійснює відеодзвінок іншому користувачеві, і до того, як приймаюча людина відповіла на дзвінок, що викликає може додати до дзвінка інших людей. З’ясувалося, що якщо в якості додаткового користувача дзвонящий додає свій номер телефону, сервіс сприймає це як активацію дзвінка і починає передавати звук від приймаючої людини, навіть якщо він ще не встиг відповісти на дзвінок. Ще одна особливість уразливості полягає в тому, що якщо після цього приймає людина натисне кнопку гучності або вимкнення, щоб відхилити дзвінок, сервіс замість цього почне транслювати відео на додаток до аудіо.

Компанія Apple заявила, що до кінця тижня випустить оновлення програмного забезпечення, що виправляють цю вразливість. Крім того, згідно з сторінці стану сервісів компанії, сервіс FaceTime працює з неполадками, а користувачі відзначають, що функція групових дзвінків стала недоступна. Мабуть, компанія вирішила відключити сервіс до випуску оновлень.

Раніше користувачі Apple стикалися з іншими легко доступними критичними вразливостями. Наприклад, в 2017 році в macOS виявили вразливість, яка дозволяє будь-якому користувачеві отримати доступ до облікового запису суперкористувача. Для цього було достатньо всього лише ввести в поле імені користувача «root» і два рази натиснути кнопку введення. Крім того, незадовго до цього в тій же версії системи виявили іншу помилку, пов’язану з введенням паролів. Якщо користувач просив показати підказку при спробі доступу до зашифрованого носію, система демонструвала не підказку, а сам пароль.